Citrix ADC

将 Citrix ADC 与被动安全设备集成(入侵检测系统)

Citrix ADC 设备现已与入侵检测系统 (IDS) 等被动安全设备集成。这些被动设备在检测到错误或不合规的流量时存储日志和触发警报。它还为合规目的生成报告。如果 Citrix ADC 设备与两个或多个 IDS 设备集成,并且当存在大量流量时,该设备可以通过在虚拟服务器级别克隆流量来负载平衡设备。

为了实现高级安全保护,Citrix ADC 设备与以仅检测模式部署的入侵检测系统 (IDS) 等被动安全设备集成。这些设备在看到错误或不合规的流量时存储日志和触发警报。它还为合规目的生成报告。以下是将 Citrix ADC 与 IDS 器件集成的一些优势。

  • 检查加密流量。大多数安全设备都会绕过加密流量,从而使服务器容易受到攻击。Citrix ADC 设备可以解密流量并将其发送到 IDS 设备,以提高客户的网络安全性。
  • 从 TLS/SSL 处理中卸载内联设备。TLS/SSL 处理费用昂贵,如果入侵检测设备解密流量,则会导致系统 CPU 较高。随着加密流量的快速增长,这些系统无法解密和检查加密流量。Citrix ADC 有助于将流量从 TLS/SSL 处理中卸载到 IDS 设备。这种卸载数据的方式会导致 IDS 设备支持大量流量检查。
  • 加载平衡 IDS 设备。Citrix ADC 设备通过在虚拟服务器级别克隆流量来平衡多个 IDS 设备,当存在大量流量时。
  • 流量复制到被动设备。流入设备的流量可以复制到其他被动设备以生成合规性报告。例如,很少有政府机构要求在某些被动设备中记录每个事务。
  • 将流量风扇到多个被动设备。有些客户喜欢将传入流量风扇或复制到多个被动设备中。
  • 智能选择流量。流入设备的每个数据包可能不需要检查内容,例如文本文件的下载。用户可以将 Citrix ADC 设备配置为选择要检查的特定流量(例如 .exe 文件),并将流量发送到 IDS 设备以便处理数据。

Citrix ADC 如何与具有 L2 连接功能的 IDS 器件集成

下图显示了入侵检测系统 (IDS) 如何与 Citrix ADC 设备集成。

IDS 集成

组件交互作用如下所示:

  1. 客户端向 Citrix ADC 设备发送 HTTP/HTTPS 请求。
  2. 设备根据内容检查策略评估拦截流量并将其复制到 IDS 设备。
  3. 如果流量是加密流量,则设备将解密数据并以纯文本形式发送。
  4. 根据策略评估,设备应用“MIRE”类型内容检查操作。
  5. 操作中配置了 IDS 服务或负载平衡服务(用于多个 IDS 设备集成)。
  6. IDS 设备配置为设备上的内容检查服务类型“任意”。然后,内容检查服务与“MIRE”类型的内容检查配置文件相关联,该配置文件指定了必须将数据转发到 IDS 设备的导出接口。注意:或者,您也可以在内容检查配置文件中配置 VLAN 标记。
  7. 然后,设备通过导出接口将数据复制到一个或多个 IDS 设备。
  8. 同样,当后端服务器向 Citrix ADC 发送响应时,设备会复制数据并将其转发到 IDS 设备。
  9. 如果您的设备集成到一个或多个 IDS 设备,并且您希望对设备进行负载平衡,则可以使用负载平衡虚拟服务器。

軟體許可證

要部署内联设备集成,您的 Citrix ADC 设备必须使用下面给出的许可证之一进行配置:

  1. ADC 高级版
  2. ADC 企业版
  3. 電信高級公司
  4. 電信高级版

配置入侵检测系统集成

您可以通过两种不同的方式将 IDS 设备与 Citrix ADC 集成。

场景 1:与单个 IDS 设备集成

以下是您必须使用命令行界面配置的步骤。

  1. 启用内容检查
  2. 为代表 IDS 设备的服务添加 MIRE 类型的内容检查配置文件。
  3. 添加类型为“任何”的 IDS 服务
  4. 添加“镜像”类型的内容检查操作
  5. 为 IDS 检查添加内容检查策略
  6. 将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载均衡虚拟服务

启用内容检查

如果希望 Citrix ADC 设备将要检查的内容发送到 IDS 设备,则必须启用内容检查和负载平衡功能,而无论是否执行解密。

在命令提示窗口中,键入:

enable ns feature contentInspection LoadBalancing

添加“镜像”类型的内容检查配置文件

类型“MIRE”的内容检查配置文件说明了如何连接到 IDS 设备。 在命令提示符下,键入。

add contentInspection profile <name> -type MIRROR -egressInterface <interface_name> [-egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10

添加 IDS 服务

您必须为与设备集成的每个 IDS 设备配置类型为“任何”的服务。该服务具有 IDS 设备配置详细信息。该服务表示 IDS 设备。

在命令提示窗口中,键入:

add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF

示例

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

为 IDS 服务添加 MIRE 类型的内容检查操作

启用内容检查功能,然后添加 IDS 配置文件和服务后,您必须添加用于处理请求的内容检查操作。根据内容检测操作,设备可以删除、重置、阻止或向 IDS 设备发送数据。

在命令提示窗口中,键入:

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

示例

add ContentInspection action IDS_action -type MIRROR –serverName IDS_service

为 IDS 检查添加内容检查策略

创建内容检查操作后,必须添加内容检查策略以评估检查请求。策略基于由一个或多个表达式组成的规则。策略根据规则评估并选择要检查的流量。

在命令提示窗口中,键入以下内容:

add contentInspection policy < policy_name > –rule <Rule> -action <action_name>

示例

add contentInspection policy IDS_pol1 –rule true –action IDS_action

将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载均衡虚拟服务

要接收 Web 流量,您必须添加负载平衡虚拟服务器。 在命令提示窗口中,键入:

add lb vserver <name> <vserver name>

示例

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

将内容检查策略绑定到 HTTP/SSL 类型的内容交换虚拟服务器或负载平衡虚拟服务器

必须将负载平衡虚拟服务器或 HTTP/SSL 类型的内容交换虚拟服务器绑定到内容检查策略。

在命令提示窗口中,键入以下内容:

bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>

示例

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

方案 2:负载平衡多个 IDS 设备

如果您使用的是两个或多个 IDS 设备,则必须使用不同的内容检查服务对设备进行负载平衡。在这种情况下,Citrix ADC 设备在向每个设备发送流量子集之上对设备进行负载平衡。 有关基本配置步骤,请参阅方案 1。

负载平衡多个 IDS 设备

以下是您必须使用命令行界面配置的步骤。

  1. 添加 IDS 服务 1 型 MIRE 的内容检查配置文件 1
  2. 添加 IDS 服务 2 型 MIRE 内容检查配置文件 2
  3. 为 IDS 设备 1 添加任何类型的 IDS 服务 1
  4. 为 IDS 设备 2 添加任何类型的 IDS 服务 2
  5. 添加任何类型 的负载平衡虚拟服务器
  6. 绑定 IDS 服务 1 以负载平衡虚拟服务器
  7. 将 IDS 服务 2 绑定到负载平衡虚拟服务器
  8. 为 IDS 设备的负载平衡添加内容检查操作。
  9. 为检查添加内容检查策略
  10. 添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器
  11. 将内容检查策略绑定到 HTTP/SSL 型虚拟服务器的负载均衡

添加 IDS 服务 1 型 MIRROR 的内容检查配置文件 1

IDS 配置可以在名为内容检查配置文件的实体中指定。配置文件包含设备设置的集合。内容检查配置文件 1 是针对 IDS 服务 1 创建的。

在命令提示窗口中,键入:

add contentInspection profile <name> -type ANY -egressInterface <interface_name> [-egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

为 IDS 服务 2 型 MIRE 添加内容检查配置文件 2

为服务 2 添加了内容检查配置文件 2,内联设备通过导出 1/1 接口与设备进行通信。

在命令提示窗口中,键入:

add contentInspection profile <name> -type MIRROR -egressInterface -egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

为 IDS 设备 1 添加任何类型的 IDS 服务 1

启用内容检查功能并添加内联配置文件后,您必须为内联设备 1 添加内联服务 1,才能成为负载平衡设置的一部分。您添加的服务提供了所有内联配置详细信息。

在命令提示窗口中,键入:

add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF

示例:

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

注意

示例中提到的 IP 地址是一个虚拟的地址。

为 IDS 设备 2 添加任何类型的 IDS 服务 2

启用内容检查功能并添加内联配置文件后,您必须为内联设备 2 添加内联服务 2。您添加的服务提供了所有内联配置详细信息。

在命令提示窗口中,键入:

add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF

示例:

add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2

注意

示例中提到的 IP 地址是一个虚拟的地址。

添加负载平衡虚拟服务器

添加内联配置文件和服务后,必须添加负载平衡虚拟服务器来平衡服务。

在命令提示窗口中,键入:

add lb vserver <vserver_name> ANY <Pvt_IP3> <port>

示例:

add lb vserver lb-IDS_vserver ANY 1.1.1.2

绑定 IDS 服务 1 以负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将负载平衡虚拟服务器绑定到第一个服务。

在命令提示窗口中,键入:

bind lb vserver <Vserver_name> <Service_name_1>

示例:

bind lb vserver lb-IDS_vserver IDS_service1

将 IDS 服务 2 绑定到负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将服务器绑定到第二个服务。

在命令提示窗口中,键入:

bind lb vserver <Vserver_name> <Service_name_1>

示例:

bind lb vserver lb-IDS_vserver IDS_service2

为 IDS 服务添加内容检查操作

启用内容检查功能后,必须添加用于处理内联请求信息的内容检查操作。根据所选操作,设备会删除、重置、阻止或将流量发送到 IDS 设备。

在命令提示窗口中,键入:

add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]

示例:

add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver

为检查添加内容检查策略

创建内容检查操作后,必须添加内容检查策略以评估服务请求。

在命令提示窗口中,键入以下内容:

add contentInspection policy <policy_name> –rule <Rule> -action <action_name>

示例:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器

添加内容交换或负载平衡虚拟服务器以接受 Web 流量。此外,您必须在虚拟服务器上启用 layer2 连接。

有关负载平衡的详细信息,请参阅负载平衡的工作原理主题。

在命令提示窗口中,键入:

add lb vserver <name> <vserver name>

示例:

add lb vserver http_vserver HTTP 1.1.1.1 8080

将内容检查策略绑定到 HTTP/SSL 类型虚拟服务器的负载平衡

必须将 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器绑定到内容检查策略。

在命令提示窗口中,键入以下内容:

bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>

示例:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

使用 Citrix ADC GUI 配置内联服务集成

  1. 导航到安全 > 内容检查 > 内容检查配置文件
  2. 在“内 容检查配置文件页中,单击添加
  3. 创建内容检查配置文件页面中,设置以下参数。
    1. 配置文件名称。IDS 的内容检查配置文件的名称。
    2. 类型。选择配置文件类型作为镜像。
    3. 导出界面。通信从 Citrix ADC 发送到 IDS 设备的接口。
    4. 导出 VLAN(可选)。通过该接口将流量发送到 IDS 设备的 VLAN ID。
  4. 单击创建

    创建内容检查配置文件

  5. 导航到 流量管理 > 负载平衡 > 服务 ,然后单击 添加
  6. 负载平衡服务页面中,输入内容检查服务详细信息。
  7. 高级设置部分中,单击配置文件
  8. 转到 配置文件 部分,然后单击 铅笔 图标以添加内容检查配置文件。
  9. 单击确定

    创建内容检查配置文件

  10. 导航至 负载平衡 > 服务器 。添加 HTTP 或 SSL 类型的虚拟服务器。
  11. 输入服务器详细信息后,单 击确定 ,然后再次 确定
  12. 高级设置部分中,单击策略
  13. 转到 略”部分,然后单击铅笔图标以配置内容检查策略。
  14. 选择策略页上,选择内容检查。单击继续
  15. 策略绑定 部分,单击“+”以添加内容检查策略。
  16. 创建 CI 策略页面中,输入内联内容检查策略的名称。
  17. 作字段中,单击 “+” 符号以创建类型为 MIRE 的 IDS 内容检查操作。
  18. 创建 CI 操 作”页面中,设置以下参数。

    a. 名称。内容检查内联策略的名称。

    b. 类型。选择类型为镜像。 c. 服务器名称。选择服务器/服务名称作为内联设备。

    d. 如果服务器关闭。如果服务器出现故障,请选择一个操作。 e. 请求超时。选择超时值。可以使用默认值。

    f. 请求超时操作。选择超时操作。可以使用默认值。

  19. 单击创建

    创建内容检查操作

  20. 创建 CI 策略 页面中,输入其他详细信息。
  21. 单击确定关闭

有关用于负载平衡和将流量复制到 IDS 设备的 Citrix ADC GUI 配置的信息,请参阅负载平衡。

创建内容检查策略

有关用于在内容转换后平衡负载并将流量转发到后端源服务器的 Citrix ADC GUI 配置的信息,请参阅负载平衡主题。

将 Citrix ADC 与被动安全设备集成(入侵检测系统)